Business E-Mails & Privat-Accounts

Bei Weiterleitung Kündigung

08.02.2018
Von   ,  IDG ExpertenNetzwerk und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.

Hände weg vom Weiterleiten-Button?

Dennoch dürften Arbeitgeber in Anbetracht der Gefahren, die eine Weiterleitung von Business E-Mails an private Accounts darstellt, ein besonders großes Interesse an der Vermeidung dieser Praxis haben. Das dürfte selbst dann gelten, wenn alle Seiten eine dienstliche Notwendigkeit in der Weiterleitung von E-Mails sähen. So sind Geschäfts- und Betriebsgeheimnisse auch und besonders dann in Gefahr, wenn ein Mitarbeiter gar nicht in böser Absicht handelt, sondern lediglich fahrlässig mit seiner privaten IT umgeht und diese nicht ausreichend abgesichert hat.

Wenn die europäische Datenschutzgrundverordnung (DSGVO) ab Mai 2018 ihre Wirkung entfaltet, drohen bei Verstößen gegen die darin festgehaltenen Grundsätze der Verarbeitung personenbezogener Daten empfindliche Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des unternehmensweiten Vorjahresgesamtumsatzes. So müssen beispielsweise Melde- und Nachforschungspflichten eingehalten werden. Nicht zuletzt können mit der Aufdeckung von Geschäftsgeheimnissen und Datenschutzverstößen auch erhebliche Image- und Reputationsschäden einhergehen.

Arbeitgeber trägt Verantwortung

Arbeitgeber sind daher auch im Sinne der IT Compliance gut beraten, im Arbeitsvertrag klare Regelungen zur E-Mail-Weiterleitung zu treffen. Denn der Arbeitgeber ist als Verantwortlicher, der personenbezogene Daten verarbeitet, dazu verpflichtet, technisch-organisatorische Maßnahmen für den Schutz dieser Daten zu treffen.

Dabei muss er nicht nur bei der unternehmenseigenen IT (zum Beispiel wenn er Dienstgeräte zur Verfügung stellt) dafür sorgen, dass durchgängig ein der DSGVO genügendes Datenschutzniveau herrscht. Gestattet er seinen Mitarbeitern, geschäftliche E-Mails auch an private Accounts weiterzuleiten, so muss er dafür sorgen, dass die verarbeiteten, personenbezogenen Daten beim Arbeitnehmer ebenfalls angemessen gesichert sind. Im Zweifel muss er die ausreichende Sicherung bei seinen Mitarbeitern auch den Aufsichtsbehörden gegenüber nachweisen können. Dies dürfte jedoch in den meisten Fällen aus Gründen der Privatsphäre und des Datenschutzes kaum zu kontrollieren und damit nicht praktikabel sein.

Die Weiterleitung von Business E-Mails kann auch im Rahmen einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO Bedeutung erlangen. Denn die Weiterleitung an nicht zu kontrollierende, private E-Mail-Accounts muss auch bei der Bewertung des Risikos einer Datenverarbeitung Berücksichtigung finden. Als weitere Folge könnte dann im Rahmen von IT- und Datenschutz-Audits (zum Beispiel nach den ISO-Normen 29100 und 29134) eine Zertifizierung nach den zu Grunde gelegten Maßstäben verwehrt werden.

Es empfiehlt sich daher, entweder Dienstgeräte zur Verfügung zu stellen oder - falls dies nicht in Frage kommt - sicherheitshalber die private Nutzung (auch zu Home-Office-Zwecken) - gänzlich zu untersagen.

Ist Ihr Datenschutz up-to-date?

Eindeutige Regelungen in Arbeitsverträgen, Betriebsvereinbarungen und Unternehmensrichtlinien sind also obligatorisch. Unterstützend sollten außerdem regelmäßige Schulungen und Sensibilisierungen der Arbeitnehmer für die Bereiche IT-Sicherheit und Datenschutz durchgeführt werden.

Durch das Zusammenspiel dieser Maßnahmen lässt sich das Risiko von Rechtsverstößen erheblich verringern - wenn auch nicht gänzlich vermeiden. Daneben existiert ein weiterer positiver Nebeneffekt: Das generelle Schutzniveau von personenbezogenen Daten Dritter (beispielsweise Kunden oder Lieferanten), die durch das Unternehmen verarbeitet werden, wird erhöht. Dies geschähe dann nicht nur durch technisch-organisatorische Maßnahmen (wie der Untersagung der Weiterleitung von E-Mails), sondern auch direkt durch die Arbeitnehmer selbst, die durch ihr Bewusstsein für datenschutzrechtliche Probleme aktiv zur Sicherheit der Daten beitragen können. (fm)